학습 경로 7 - 랩 1 - 연습 11 - Microsoft Sentinel에서 리포지토리 사용

랩 시나리오

당신은 Microsoft Sentinel을 구현한 회사에서 근무하는 보안 운영 분석가입니다. 예약됨 및 Microsoft 보안 분석 규칙을 이미 만들었습니다. Azure DevOps 리포지토리에서 분석 규칙을 중앙 집중화해야 합니다. 그런 다음 Sentinel을 Azure DevOps 리포지토리에 연결하고 콘텐츠를 가져옵니다.

참고: 대화형 랩 시뮬레이션 을 사용하여 이 랩을 원하는 속도로 클릭할 수 있습니다. 대화형 시뮬레이션과 호스트된 랩 간에 약간의 차이가 있을 수 있지만 보여주는 핵심 개념과 아이디어는 동일합니다.

작업 1: 분석 규칙을 만들고 내보내기

이 작업에서는 Microsoft Sentinel에서 엔터티 동작 분석을 사용하도록 설정합니다.

  1. WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.

  2. 랩 호스팅 공급자가 제공한 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여넣은 후 다음을 선택합니다.

  3. 랩 호스팅 공급자가 제공한 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여넣은 후 로그인을 선택합니다.

  4. Azure Portal의 검색 창에 Sentinel을 입력하고 Microsoft Sentinel을 선택합니다.

  5. Microsoft Sentinel 작업 영역을 선택합니다.

  6. 왼쪽 블레이드의 구성 영역에서 분석을 선택합니다.

  7. 이전에 만든 Startup RegKey 규칙을 선택합니다.

  8. 도구 모음에서 내보내기를 선택합니다. 힌트: 이를 보려면 줄임표 아이콘 (…) 을 선택해야 할 수도 있습니다.

  9. 규칙은 Azure_Sentinel_analytic_rule.json이라는 텍스트 파일로 내보내집니다.

  10. 다운로드한 파일 이름 아래에서 파일 열기를 선택한 다음 더 많은 앱을 선택합니다.

  11. 메모장을 선택한 다음 확인을 선택합니다.

  12. Azure Resource Manager 템플릿을 검토하고 완료되면 닫습니다.

작업 2: Azure DevOps 환경 만들기

이 작업에서는 Azure DevOps 리포지토리를 만듭니다.

  1. 브라우저에서 다른 탭을 열고 https://aexprodcus1.vsaex.visualstudio.com/me?mkt=en-US로 이동합니다.

  2. On the 몇 가지 추가 정보를 입력해 주세요 페이지에서 계속을 선택합니다.

  3. Azure DevOps 시작 페이지에서 새 조직 만들기를 선택하고 계속을 선택합니다.

  4. 거의 완료… 페이지에서 나중에 사용하지 않으려는 DevOps 조직의 이름(예: 테넌트 접두사)을 입력합니다.** 힌트: 랩의 리소스 탭(WWLx…)에서 찾을 수 있습니다.

  5. 표시되는 문자를 입력한 다음 계속합니다.**

  6. 시작할 프로젝트 만들기 페이지에서 내 Sentinel 콘텐츠를 입력한 다음, 프로젝트 만들기를 선택합니다.**

  7. 왼쪽 창에서 리포지토리로 이동합니다.

  8. README 또는 gitignore를 사용하여 기본 분기 초기화 영역의 페이지 아래쪽에서 초기화를 선택합니다.**

  9. 페이지에 리포지토리에 대한 파일이 표시됩니다. 유일한 파일은 README.me입니다.

  10. 파일(페이지 오른쪽) 블레이드의 도구 모음에는 빌드 설정, 복제 등의 옵션이 포함됩니다. 더 많은 옵션을 보려면 콜론 아이콘 (:) 을 선택합니다.

  11. 파일 업로드를 선택합니다.

  12. 찾아보기를 선택하고 다운로드 디렉터리에서 Azure_Sentinel_analytic_rule.json 파일을 선택합니다.**

  13. 커밋을 선택합니다.

  14. 페이지의 왼쪽 위 모서리에서 Azure DevOps를 선택합니다. 조직 및 프로젝트가 표시됩니다.

  15. 페이지 왼쪽 아래에서 조직 설정을 선택합니다.

  16. 왼쪽 블레이드의 보안 영역에서 정책을 선택합니다.

  17. 애플리케이션 연결 정책 영역에서 켜기 OAuth를 통한 타사 애플리케이션 액세스를 전환합니다.

작업 3: Azure DevOps에 Sentinel을 연결합니다.

  1. 브라우저에서 Azure Portal/Microsoft Sentinel 탭을 선택합니다.

  2. Microsoft Sentinel의 콘텐츠 관리 섹션에서 리포지토리(미리 보기) 를 선택합니다.**

  3. 도구 모음에서 + 새로 추가 단추를 선택합니다.

  4. 이름에 My Content를 입력합니다.

  5. 소스 제어의 경우 Azure DevOps를 선택합니다.

  6. 권한 부여를 선택합니다. 권한 요청을 아래로 스크롤한 다음, 수락을 선택합니다.

  7. 이전에 만든 조직(예: WWLx…)을 선택합니다.

  8. 이전에 만든 프로젝트인 내 Sentinel 콘텐츠를 선택합니다.**

  9. 이전에 만든 리포지토리인 내 Sentinel 콘텐츠를 선택합니다.** 힌트: 리포지토리를 보려면 드롭다운 내에서 아래로 스크롤해야 할 수 있습니다.

  10. 분기 기본을 선택합니다. 힌트: 분기를 보려면 드롭다운 내에서 아래로 스크롤해야 할 수 있습니다.

  11. 모든 콘텐츠 형식을 선택합니다.

  12. 다음으로 만들기를 선택합니다.

  13. 필요한 경우 Microsoft Sentinel 작업 영역으로 돌아가기

  14. 리포지토리(미리 보기) 페이지로 이동하여 새로 고침을 선택합니다.** 마지막 배포 상태가 실패한 상태가 될 때까지 기다립니다.**

    참고: 실패한 상태는 호스트된 랩 환경의 제한으로 인해 발생합니다.** 일반적으로 성공이 표시됩니다.** 그런 다음 Azure DevOps에서 가져온 규칙을 분석에서 확인할 수 있습니다.**

이 랩을 완료했습니다.